{"id":14,"date":"2007-12-12T00:27:52","date_gmt":"2007-12-11T23:27:52","guid":{"rendered":"http:\/\/www.oscene.net\/site\/sicurezza\/gnupg-crittografia-di-livello-militare-a-portata-di-tutti"},"modified":"2007-12-12T00:27:52","modified_gmt":"2007-12-11T23:27:52","slug":"gnupg-crittografia-di-livello-militare-a-portata-di-tutti","status":"publish","type":"post","link":"https:\/\/www.oscene.net\/it\/pillole\/sicurezza\/gnupg-crittografia-di-livello-militare-a-portata-di-tutti","title":{"rendered":"GnuPG: Crittografia di livello militare a portata di tutti"},"content":{"rendered":"

GnuPG<\/a> <\/strong>(Gnu Privacy Guard<\/em>) <\/strong>\u00c3\u00a8 la versione Open Source del software di crittazione PGP<\/strong><\/a> (Pretty Good Privacy<\/em>) che Bruce Schneier, crittografo, in Applied Crittography <\/em>ha definito come il modo per arrivare “probabilmente il pi\u00c3\u00b9 vicino alla crittografia di livello militare”. Proprio per questo motivo Zimmermann<\/a>, il suo creatore, fu accusato di “esportazione di armi senza apposita licenza”; non mi sento dunque di consigliare l’utilizzo di questo programma a tutti coloro che non posseggano il porto d’armi!<\/p>\n

GPG \u00c3\u00a8 uno dei programmi sviluppati dalla Free Software Foundation<\/a> ed \u00c3\u00a8 attualmente un programma stabile e maturo, compatibile con gli standard OpenPGP, e distribuito gratuitamente insieme a buona parte delle distribuzioni Linux, oltre che con FreeBSD, NetBSD ed OpenBSD; ne esistono inoltre delle versioni per Windows e Mac OS X<\/a> grazie alla portabilit\u00c3\u00a0 del suo codice (libero). Il livello di sicurezza raggiunto da GnuPg \u00c3\u00a8 tale da far ritenere a molti informatici che nemmeno molte aziende governative siano in grado di decrittare documenti protetti attraverso questo sistema; ci\u00c3\u00b2 non toglie, per\u00c3\u00b2, che esistano molti altri metodi per intercettare o recuperare i files originali “sprotetti”, in modo da rendere vano l’utilizzo di questo software.
\n
\nGnuPG utilizza un sistema a chiave pubblica; ci\u00c3\u00b2 significa che ogni utente, per comunicare in sicurezza attraverso l’utilizzo della crittografia, dispone di una chiave pubblica<\/em> ed una chiave privata<\/em>. La chiave pubblica \u00c3\u00a8 utilizzata da chiunque voglia comunicare in modo sicuro con l’utente, offrendo le specifiche per criptare i files che potranno essere poi decriptati dal possessore della chiave privata. Per utilizzare GPG dobbiamo dunque generare le nostre due chiavi: apriamo un terminale e digitiamo il comando gpg –gen-key<\/strong>; a questo punto il programma ci chieder\u00c3\u00a0 che tipo di chiave vogliamo generare; il mio consiglio \u00c3\u00a8 quello di fare la scelta di default (DSA e ElGamal<\/em>) che genera due coppie di chiavi (DSA solo per firmare; ElGamal sia per firmare che criptare\/decriptare). Adesso scegliamo la dimensione della chiave (in bit): anche qui possiamo utilizzare le opzioni di default (1024 bit) che offre gi\u00c3\u00a0 un ottimo livello di sicurezza (ovviamente pi\u00c3\u00b9 lunga \u00c3\u00a8 la chiave, maggiore \u00c3\u00a8 il livello di sicurezza). Scegliamo quindi il periodo di durata della chiave (\u00c3\u00a8 bene impostarne uno non troppo lungo: in questo modo, se la chiave diventasse improvvisamente non pi\u00c3\u00b9 valida, dopo poco tempo risulterebbe non pi\u00c3\u00b9 utilizzabile), inseriamo i nostri dati personali, al fine di poter associare la chiave ad una persona fisica, e infine, importantissima, la passphrase: questa ci servir\u00c3\u00a0 per decrittare e firmare i files, dunque \u00c3\u00a8 importante sceglierne una abbastanza sicura.<\/p>\n

Creata la nostra chiave \u00c3\u00a8 importantissimo generare un certificato di revoca, che ci consente di invalidare la propria chiave qualora essa diventasse inutilizzata, compromessa, etc… Per farlo digitiamo in un terminale gpg –output revoca.asc –gen-revoke mia_chiave<\/strong> in cui mia_chiave<\/em> rappresenta uno specificatore di chiave<\/em> ossia l’ID associato alla coppia di chiavi generate o un qualsiasi altro campo del proprio User ID indicato durante la creazione delle chiavi. In questo caso il certificato di revoca viene memorizzato nel file revoca.asc: \u00c3\u00a8 importantissimo tenere questo file al sicuro in quanto chiunque, avendone accesso, potrebbe rendere inutilizzabile la propria chiave pubblica. Qualora si presentasse la necessit\u00c3\u00a0 di revocare la chiave adesso potremmo dunque farlo pubblicando il nostro certificato di revoca.<\/p>\n

Adesso non ci resta che la parte migliore! Utilizzando il comando gpg –list-keys<\/strong> possiamo visualizzare tutte le chiavi pubbliche presenti nel nostro portachiavi (ovvero le chiavi pubbliche memorizzate per un utilizzo futuro); per esportare una qualsiasi chiave presente nel nostro portachiavi pubblico basta utilizzare l’opzione export<\/em> in questo modo: gpg –output chiave.gpg –export user_id<\/strong> dove user_id<\/em> \u00c3\u00a8 un qualsiasi ID della chiave da esportare. Per rendere pi\u00c3\u00b9 “sicura” l’esportazione delle chiavi possiamo aggiungere l’opzione –armor<\/em> al comando appena analizzato.<\/p>\n

Per importare una chiave, invece, possiamo utilizzare l’opzione –import<\/em> in questo modo: gpg –import gino.gpg<\/strong>; verifichiamo l’avvenuta importazione della chiave attraverso l’utilizzo di gpg –list-keys<\/strong>. Verificata la presenza di un ipotetico “Gino” nel nostro mazzo di chiavi, adesso abbiamo la possibilit\u00c3\u00a0 di comunicare con lui attraverso la comunicazione crittata. Prima per\u00c3\u00b2 controlliamo il fingerprint (le “impronte digitali”) delle nostre chiavi, assicurandoci che ad ogni chiave corrisponda l’effettivo proprietario attraverso il comando gpg –fingerprint<\/strong>. A questo punto possiamo validare anche noi la chiave (se siamo realmente sicuri che a quella chiave corrisponda l’effettivo possessore) entrando nel menu di edit della chiave: attraverso gpg –edit-key user_id<\/strong> possiamo modificare in vari modi la chiave presa in esame. Attraverso il comando sign<\/strong> validiamo la chiave in editing, con check<\/strong> possiamo leggere le altre firme presenti nella chiave, con help<\/strong> visualizziamo una veloce schermata di aiuto, con q<\/strong> usciamo dal sottomenu.<\/p>\n

Adesso, per cifrare un documento, ci baster\u00c3\u00a0 disporre della chiave di un utente nel nostro portachiavi pubblico, e poi dare via terminale il comando gpg –output filecifrato –armor –encrypt –recipient user_id<\/strong> dove user_id \u00c3\u00a8 ancora una volta l’ID del destinatario. In questo modo, soltanto il possessore della chiave privata relativa a quell’user_id potr\u00c3\u00a0 decriptare il “filecifrato”. Per decriptare un file criptato attraverso l’uso della nostra chiave pubblica, invece, basta utilizzare gpg –output filedecifrato -d filecifrato<\/strong> ed immettendo quindi la propria passphrase.<\/p>\n

Per cifrare i propri file firmandoli, invece, possiamo utilizzare gpg –output filefirmato –sign filedafirmare<\/strong>; se invece si presentasse la necessit\u00c3\u00a0 di firmare un file lasciandolo “in chiaro” potremmo alternativamente usare gpg –clearsign filedafirmare<\/strong> o gpg –output firma.sig –detach -sign fileoriginale<\/strong> nel caso in cui volessimo salvare la firma in un file separato da quello originale. Per verificare la firma, in quest’ultimo caso, useremo gpg –verify firma.sig fileoriginario<\/strong>, mentre negli altri casi andr\u00c3\u00a0 benissimo gpg –verify filefirmato<\/strong> e, nel caso in cui il file sia anche cifrato, potremo decifrarlo attraverso il comando di decifrazione “standard” prima incontrato.<\/p>\n

Per ulteriori informazioni circa l’utilizzo di GnuPG potete facilmente consultare:<\/p>\n